Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— предоставление страховки;

— процедуры резервного копирования и непрерывности бизнеса;

— аудит и мониторинг безопасности;

— аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.

Безопасность, связанную с персоналом, обеспечивают мероприятия:

— перед приемом на работу;

— во время работы;

— при увольнении или изменении должности.

3.1. Перед приемом на работу

Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.

Перед приемом на работу проводятся следующие мероприятия:

— проверка благонадежности;

— трудовой договор.

Проверка благонадежности

Меры и средства

Тщательная проверка всех кандидатов на работу должна проводиться согласно соответствующим законам, инструкциям и правилам этики в соответствии с требованиями бизнеса, классификацией информации, к которой будет осуществляться доступ, и предполагаемыми рисками.

Рекомендации по реализации

Проверка благонадежности должна осуществляться с учетом конфиденциальности, защиты персональных данных и трудового законодательства и включать, по возможности, следующее:

— независимую проверку подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа);

— проверку подлинности документов об образовании и профессиональной квалификации;

— проверку биографии кандидата (на предмет полноты и точности);

— наличие положительных рекомендаций, в частности, в отношении деловых и личных качеств претендента;

— более детальную проверку, например, кредитоспособности или наличия судимости.

Если кандидат претендует на специальную роль в сфере ИБ, организация должна удостовериться в том, что он имеет необходимую:

— компетенцию для выполнения роли;

— степень доверия, если роль критична для организации.

Если предполагаемая работа предоставляет доступ к средствам обработки информации, особенно, конфиденциальной, например, финансовой, организация должна провести дальнейшую, более детальную проверку кандидата.

Организация для процедур проверки должна определить критерии и ограничения, например, кто имеет право проверки, кто, когда и почему проводит проверку.

Процесс отбора должен также применяться и для подрядчиков. Соглашение между организацией и подрядчиком должно содержать ответственность за проведение отбора и процедуры уведомления о том, что отбор не закончен или его результаты дали повод для сомнений или опасений.

Информация обо всех кандидатах на должности в организации должна быть собрана и обработана в соответствии с действующим законодательством в этой юрисдикции. В зависимости от применяемого законодательства кандидаты должны быть заблаговременно уведомлены о действиях по отбору.

Трудовой договор

Меры и средства

Трудовой договор должен устанавливать ответственность сотрудника и подрядчика и организации в сфере ИБ.

Рекомендации по реализации

Условия работы сотрудников и подрядчиков должны отражать политику ИБ и, кроме того, разъяснять и устанавливать:

— необходимость подписания соглашения о конфиденциальности или неразглашении прежде, чем им будет предоставлен доступ к конфиденциальной информации;

— правовую ответственность и права, например в части законодательства о защите персональных данных или авторском праве;

— обязанности по классификации информации и управлению активами, связанными с информацией, средствами обработки информации и информационными сервисами;

— ответственность за обработку информации, получаемой от других фирм и сторонних организаций;

— действия, которые должны быть предприняты в случае несоблюдения требований ИБ.

Роли и ответственности в сфере ИБ должны быть доведены до кандидатов до их приема на работу.

Организация должна удостовериться, что сотрудники и подрядчики согласны с условиями ИБ в отношении вида и уровня получаемого доступа к активам, связанным с ИС и сервисами.

При необходимости ответственность, возлагаемая на сотрудника по условиям работы, должна сохраняться сотрудником в течение определенного периода времени и после увольнения из организации.

Организация в соответсвии со своим имиджем и репутацией может разработать кодекс поведения сотрудника и подрядчика, устанавливающий его обязанности в сфере ИБ в отношении конфиденциальности, защиты персональных данных, этики, допустимого использования оборудования и устройств организации.

3.2. Во время работы

Цель: Гарантировать, что все сотрудники и подрядчики осведомлены о своей ответственности и корректно выполняют свои обязанности в сфере ИБ.